View a markdown version of this page

Amazon Managed Service for Prometheus 데이터 소스 생성 - Amazon OpenSearch Service
사전 조건데이터 소스 연결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Managed Service for Prometheus 데이터 소스 생성

Amazon Managed Service for Prometheus 데이터 소스를 생성하려면 지표를 쿼리하는 데 필요한 권한을 OpenSearch Service에 부여하는 활성 워크스페이스와 IAM 역할이 필요합니다.

사전 조건

데이터 소스를 연결하기 전에 다음이 있는지 확인합니다.

  • Prometheus 워크스페이스 - 활성 Amazon Managed Service for Prometheus 워크스페이스입니다. Workspace ID와 Workspace ID가 있는를 기록 AWS 리전 해 둡니다.

  • IAM 역할 - directquery.opensearchservice.amazonaws.com 서비스 보안 주체가 이를 수임하도록 허용하는 신뢰 정책이 있는 AWS Identity and Access Management 역할입니다.

데이터 소스 연결

사전 조건이 충족되면 OpenSearch Service 콘솔을 사용하여 데이터 소스를 연결할 수 있습니다.

Amazon Managed Service for Prometheus 데이터 소스를 설정하려면

  1. Amazon OpenSearch Service 콘솔(https://console.aws.amazon.com/aos/)로 이동합니다.

  2. 왼쪽 탐색 창에서 중앙 관리로 이동하여 연결된 데이터 소스를 선택합니다.

  3. 새 데이터 소스 연결을 선택합니다.

  4. Amazon Managed Service for Prometheus를 데이터 소스 유형으로 선택합니다.

  5. 다음을 선택합니다.

  6. 데이터 연결 세부 정보에 이름과 설명(선택 사항)을 입력합니다.

  7. IAM 역할에서 액세스를 관리하는 방법을 선택합니다.

    • 이 데이터 소스에 대한 역할을 자동으로 생성하려면:

      1. 새 역할 생성을 선택합니다.

      2. IAM 역할의 이름을 입력합니다.

      3. 하나 이상의 워크스페이스를 선택하여 쿼리할 데이터를 정의합니다.

    • 직접 관리하는 기존 역할을 사용하려면:

      1. 기존 역할 사용을 선택합니다.

      2. 드롭다운 메뉴에서 기존 역할을 선택합니다.

    참고

    자체 역할을 사용할 때는 IAM 콘솔에서 필요한 정책을 연결하여 필요한 모든 권한이 있는지 확인합니다. 자세한 내용은 수동으로 생성한 IAM 역할에 필요한 권한 단원을 참조하십시오.

  8. (선택 사항) 액세스 정책에서 데이터 소스에 대한 액세스 정책을 구성합니다. 액세스 정책은 OpenSearch Service 다이렉트 쿼리 데이터 소스에 대한 요청이 수락 또는 거부되는지 여부를 제어합니다. 액세스 정책을 구성하지 않으면 데이터 소스 소유자만 액세스할 수 있습니다. 교차 계정 액세스를 활성화하도록 액세스 정책을 구성하여 다른의 보안 주체가 데이터 소스에 액세스할 수 있도록 AWS 계정 할 수 있습니다.

    시각적 편집기를 사용하거나 JSON 정책 문서를 제공하여 액세스 정책을 생성할 수 있습니다. 시각적 편집기를 사용하면 보안 주체 AWS 계정 ID, 계정 ARN, IAM 사용자 ARN, IAM 역할 ARN, 소스 IP 주소 또는 CIDR 블록을 지정하여 액세스를 허용하거나 거부할 수 있습니다. 시각적 편집기는 최대 10개의 요소를 지원합니다. 10개 이상의 요소로 정책을 정의하려면 JSON 편집기를 사용합니다.

    정책 가져오기를 선택하여 다른 데이터 소스에서 기존 액세스 정책을 가져올 수도 있습니다.

  9. (선택 사항) 태그에서 데이터 소스에 태그를 추가합니다.

  10. 다음을 선택합니다.

  11. OpenSearch 설정에서 OpenSearch UI를 설정하는 방법을 선택합니다.

    1. 계정에 OpenSearch UI 애플리케이션이 없는 경우 새 OpenSearch 애플리케이션을 생성합니다. 기존 OpenSearch 애플리케이션이 있는 경우 해당 애플리케이션을 선택합니다.

    2. 새 애플리케이션을 생성하는 경우 새 관찰성 워크스페이스를 생성합니다. 기존 애플리케이션을 선택한 경우 새 관찰성 워크스페이스를 생성하거나 기존 워크스페이스를 선택합니다. Amazon Managed Service for Prometheus는 관찰성 워크스페이스에서만 사용할 수 있습니다.

  12. 다음을 선택합니다.

  13. 선택 사항을 검토하고 변경해야 하는 경우 편집을 선택합니다.

  14. 연결을 선택하여 데이터 소스를 설정합니다. 데이터 소스가 생성되는 동안 이 페이지를 나가지 않습니다. 준비가 되면 데이터 소스 세부 정보 페이지로 이동합니다.

다음 단계

OpenSearch UI 방문

데이터 소스를 생성한 후 OpenSearch Service는 OpenSearch UI 애플리케이션 URL을 제공합니다. 이를 사용하여 OpenSearch UI에 액세스할 수 있는 사용자를 구성하고 PromQL에서 지표 검색을 사용하여 Amazon Managed Service for Prometheus 데이터를 분석할 수 있습니다.

추가 리소스

수동으로 생성한 IAM 역할에 필요한 권한

데이터 소스를 생성할 때 데이터에 대한 액세스를 관리할 IAM 역할을 선택합니다. 여기에는 두 가지 옵션이 있습니다.

  • 자동으로 새 IAM 역할 생성

  • 수동으로 생성한 기존 IAM 역할을 사용합니다.

수동으로 생성한 역할을 사용하는 경우 역할에 올바른 권한을 연결해야 합니다. 권한은 특정 데이터 소스에 대한 액세스를 허용하고 OpenSearch Service가 역할을 수임하도록 허용해야 합니다. 이는 OpenSearch Service가 데이터에 안전하게 액세스하고 상호 작용할 수 있도록 하기 위해 필요합니다.

다음 샘플 정책은 데이터 소스를 생성하고 관리하는 데 필요한 최소 권한을 보여줍니다. aps:* 또는 AdministratorAccess 정책과 같은 더 광범위한 권한이 있는 경우 이러한 권한은 샘플 정책의 최소 권한 권한을 포함합니다.

다음 샘플 정책에서는 각 자리 표시자 텍스트를 자신의 정보로 바꿉니다.

샘플 IAM 정책

OpenSearch Service가 지표 메타데이터를 가져오고 쿼리를 실행할 수 있도록 IAM 역할에 다음 권한을 연결합니다.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "AmazonOpenSearchDirectQueryPrometheusAccess",
            "Effect": "Allow",
            "Action": [
                "aps:DeleteAlertManagerSilence",
                "aps:GetAlertManagerSilence",
                "aps:GetAlertManagerStatus",
                "aps:GetLabels",
                "aps:GetMetricMetadata",
                "aps:GetSeries",
                "aps:ListAlertManagerAlertGroups",
                "aps:ListAlertManagerAlerts",
                "aps:ListAlertManagerReceivers",
                "aps:ListAlertManagerSilences",
                "aps:ListAlerts",
                "aps:QueryMetrics",
                "aps:PutAlertManagerSilences",
                "aps:DescribeAlertManagerDefinition",
                "aps:CreateRuleGroupsNamespace",
                "aps:DeleteRuleGroupsNamespace",
                "aps:ListRuleGroupsNamespaces",
                "aps:DescribeRuleGroupsNamespace",
                "aps:PutRuleGroupsNamespace"
            ],
            "Resource": "arn:aws:aps:region:account-id:workspace/workspace-id",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "directquery.opensearchservice.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "AmazonOpenSearchDirectQueryPrometheusListAccess",
            "Effect": "Allow",
            "Action": [
                "aps:ListWorkspaces"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "directquery.opensearchservice.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
샘플 신뢰 정책

IAM 역할에 다음 신뢰 정책을 연결합니다.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "TrustPolicyForAmazonOpenSearchDirectQueryService",
            "Effect": "Allow",
            "Principal": {
                "Service": "directquery.opensearchservice.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:opensearch:region:account-id:datasource/data-source-name"
                },
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                }
            }
        }
    ]
}